?

Log in

Nan-Elmoth Scroll
 
[Most Recent Entries] [Calendar View] [Friends]

Below are the 20 most recent journal entries recorded in Phil Kulin's LiveJournal:

[ << Previous 20 ]
Monday, January 16th, 2017
6:28 pm
DNSSEC. Руководство регистратора доменов.
Ого. Давненько меня тут не было

Я уже несколько лет прошу регистраторов доменов RU/РФ реализовать поддержку DNSSEC в API. На сегодняшний день я не знаю ни одного такого регистратора (именно RU/РФ). Я изучил вопрос и понял, что регистраторы не понимают объём работ, а нормальной разъяснительной документации не то что на русском, да и на английском нет. Есть нудные спецификации c перекрестными ссылками, на которых можно уснуть. Неплохие статьи есть у замечательного сервиса CloudFlare. Но они специфичны для CloudFlare и не раскрывают например части работы с регистратором (и некоторые другие, впрочем).

Я решил сделать мир лучше и подготовил руководство по DNSSEC для регистраторов доменов. Это руководство выполнено в стиле презентации для лучшего восприятия. Однако его можно использовать и как краткий справочник. В нём собраны только те части технологии, которые касаются регистратора домена. Подробно всё разложено по полочкам, даны рекомендации, примеры кода и дополнительные факультативные сведения. Руководство подходит не только для доменов RU/РФ, но и для всех остальных.

http://www.slideshare.net/schors/dnssec-71055077

Для тех, кто не может обойти блокировку или не имеет регистрации на слайдшаре:
http://www.diphost.ru/docs/DNSSEC-regs.pdf
Tuesday, April 12th, 2016
11:57 pm
Я друг эволюции!
В ПОСЛЕДНЮЮ МИНУТУ!!!

Оригинал взят у lisey_m в Я друг эволюции!


Еле успел за работой.

145 лет до основания Корпуса Пси! 

Sunday, January 11th, 2015
1:15 am
Открыл для себя LaTeX
Как-то раньше я считал TeX скорее мертвым, чем живым. И мало кто знает, и редакторы какие-то непрезентабельные, и результат невнятный. А тут в очередной раз припёрло пересмотреть систему автоматизированного создания документов (счета, фактуры, инфойсы, акты, договора, квитанции, черти в ступе).

Внезапно снял стопоры в голове:
- LaTeX не сложен. Во всяком случае XMLины писать сложнее и неприятнее. Немного непривычен и поэтому отпугивает, но прост. Совсем прост. Люди знающие, что такое DOCTYPE в HTML будут плакать от умиления.
- LaTeX вполне себе жив и вполне даже современен.

Какой LaTeX няшный и мимишныйCollapse )
Tuesday, December 9th, 2014
5:33 pm
JärviCon #9
Традиционная поездка в лес 13 декабря 2014 года. Это суббота. Ближайшая суббота. Сбор в 08:30 13 декабря 2014 года на платформе в Девяткино

Исторически мероприятие планируется для околохостинговой тусовки. Могут приехать все, кто считает что имеет смысл и готов к адекватному восприятию окружающих. Такие люди с нами ходят и тематика является только стержнем.

Цель мероприятия - отдохнуть на свежем воздухе с экзотикой. Новая особенность - с позапрошлого года на JärviCon можно (и нужно) сделать небольшой блиц-доклад на какую-нибудь техническую тему.

На всякий случай - мероприятие не согласовано и не санкционировано, более того - заявка даже не подавалась. Поэтому является несанкционированным шествием и митингом, с целью публичного обсуждения всяких интернет-технологий, и как вы уже заметили - привлечения внимания. Все участники автоматом будут являться нарушителями 54-ФЗ О собраниях, митингах, демонстрациях, шествиях и пикетированиях.

Время проведения - 13-о декабря 2014 года. Утром в 8:30 на станции Девяткино собираемся, в 9:06 садимся в электричку и едем на место. На месте делаем костёр, едим, пьём. Вечером примерно в 20:00 отбываем обратно в Питер. Едем на 67-ой километр Приозерского направления. Это практически тот самый Кирьясальский выступ. Прямо ровно на старой русско-финской границе со стороны Финляндии (да-да, в направлении озера через холм - Россия, на холме можно увидеть остатки оборонительных сооружений, если кто до туда дойдёт). А также с 1919 по 1921 год - граница Финляндии и Северной Ингерманландской Республики.

Приезжаем на место, доходим до контрольной точки (речка Смородинка (финск. Tungelmanjoki), озеро Париканярви (русского названия не имеет)), готовим дрова и разводим костёр. Я варю походную баланду типа суп из пакетиков с тушонкой, перловкой, перцем, рисом и всякой хренью. Едим. Пьём кофе. Много разговариваем, греемся у костра, поём песни, желающие занимаются сексом (хотя, я думаю что будет холодно - застудите себе почки, ничего будет уже не надо), играем в снежки (по воле Божьей). Итак традиционная баланда, кофе.

Одеваемся тепло - в любом случае жарко не будет. Термобельё, коврики, ватники лишними не будут. Пластиковые такие игрушечные лыжи в прошлый раз показали свою неэффективность. Есть вариант обычных лыж, но внимательно оцените свои возможности. Идти километров 7 по пересечённой местности, приготовтесь к карабканию по полузамерзшему склону. Желательно иметь седушки. Все берём фонарики. Напоминаю - суббота, 13-ое декабря, платформа Девяткино, под расписанием, 08:30-08:50.
Из еды с собой иметь закуску и запивку на дорогу туда и на дорогу обратно и что-нибудь к чаю. Каждый на себя возьмёт - замечательно. Очень рулят бетерброды в электричке и чай/кофе в термосе. Всё равно обычно с запасом берут, так что всем достанется. Кружку миску и ложку лучше не забывать :)
«JärviCon» на Яндекс.Картах
Финская 200-метровка, отцентрировано по стоянке

И картинки для привлечения внимания:

КДПВ 18+Collapse )

Повторяю
* Тепло одеться. Иметь хорошую тёплую обувь, желательно с шерстяными носками сменными. Перчатки/рукавицы/шарфы
* Фонарики с батарейками. 13-ое декабря и здесь север, Ингрия
* Кружка, ложка, миска
* Хорошее настроение
* Возможно доклад

Да, я особо каждый раз подчёркиваю, что никто не против новых людей. Приводите, приходите сами - без разницы.

Меняйте свои планы, закупайте комки, термобельё, седушки, кружки/ложки походные, рюкзаки и перчатки.

И да придёт к вам ФАС! (c)
Saturday, October 18th, 2014
4:28 am
mod_proctitle — модуль Apache для отображения в ps/top чего там творицо
Я достаточно давно использую патч для apache, который после разбора строки запроса пишет в имя программы IP, откуда был запрос, то, что пришло в заголовке Host и саму строку запроса. Но этот двухстрочный патч был написан 12 лет назад для Apache версии 1.3. А потом руки не доходили. Тем более, с того времени появилось множество (я за пять минут нашел как минимум два) разновидностей модулей для тех целей, для более новых версий Apache. Однако, со временем мне стало маловато просто строк запросов. И… я написал свой модуль. http://habrahabr.ru/post/240767/

И тут меня понесло. Докину на github Славкину программку:
https://github.com/schors/nginxctl

Вдруг у кого не завалялось книги Дж. Доннован "Системное программирование"? Отсканировать это там место про транслятор https://github.com/schors/astramacro
Friday, September 26th, 2014
6:30 pm
Shellshock на пальцах
Все уже слышали об эпической дырке в bash?
Для тех, кто не слышал:
http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html - тут недурно на басурманском
http://www.securitylab.ru/vulnerability/458762.php - тут так себе
http://xakep.ru/shellshock/ - тут тоже так себе
А тут продолжение банкета:
https://news.ycombinator.com/item?id=8367883

Вкратце - косяк позволяет исполнить что-то, разными извращёнными способами, зачастую очень простыми для злоумышленика. Осложняется всё тем, что линукс вообще везде bash.

Теперь более подробно, но на пальцах. Что происходит?

bash - командная оболочка UNIX. Если вы в Linux, то скорее всего ваша оболочка - bash. Более того, большинство Linux-дистрибутивов ещё и не различают sh и bash. Для пользователей Windows поясню - bash это такой cmd только для *NIX. С какого-то перепоя bash позволяет определять функции в переменных окружения. Грубо говоря, при запуске bash, он пробегает по переменным окружения, и если видит в какой из них синтаксис определения функции - берёт и исполняет эту переменную как свою строку. Соответственно, вот такая строка:

export atata='() { :;}; echo Дыра в безопасности'; bash -c echo;

придаст переменной atata значение '() { :;}; echo Дыра в безопасности', переменная atata экспортируется в окружение, потом (после ';') запустится bash, который в начале запуска интерпретирует переменную окружения atata как строку для исполнения, а только потом выполнит команду echo. как ему предписано. Правда прекрасно?

А теперь представьте, что некий веб-бот обходит сайт, представляясь "User-Agent: () { :;}; rm -rf". А у Вас CGI на /bin/sh и Linux, где это bash... Или cgi-скрипт делает вызов через shell, а shell - это bash...

Где это сработает


  • CGI-скрипты, если там хоть где-то есть вызов bash, или если это Linux и есть какой-нибудь запуск. Даёт доступ к shell кому угодно.

  • gitolite, gitosis, gitlab, если логин-шелл - bash. Проблема в том, что эти системы работают через ключи SSH и ограничивают пользователя жёстко одной командой, однако, реальная команда, которую хотел исполнить пользователь, передаётся в переменной окружения SSH_ORIGINAL_COMMAND. Итак:
    ssh git@you_gitolite_sercver '() { :;}; rm -rf ~/'
    и репозитария больше нет, даже если у вас были права на посмотреть одну веточку. Но если валидного логина SSH нет, то ничего и не будет</i>
  • shell_exec() в страницах на PHP на Linux, если php запущен как php-fpm. FastCGI передаёт заголовки HTTP в окружение и поэтому запуск bash будет в соответствуюем окружении. Выкладка теоретическая, поправьте меня, если это не так.

  • Придумайте ещё что-нибудь



Где это не сработает


  • Эта уязвимость не повышает привилегии

  • CGI на Perl даже если есть запуск через qx - запускает sh. Если у вас sh - это bash, то вы сами себе Linux

  • Запуск bash со страниц на PHP под управлением mod_php, поскольку php в этом случае не передаёт заголовки HTTP как переменные окружения

  • SSH без валидной авторизации. Ибо shell запускается уже после неё</b>
  • На домашних роутерах и т.д. и т.п., как обозначено в релизах. В большинстве своём домашние роутеры - это мини-Linux с лёгким shell, который точно не bash.



Это серьёзная уязвимость?

Нет. Да.

Вообще я чуть со смеху не помер, когда понял как она работает :)
Friday, September 19th, 2014
12:58 am
Яндекс.Почта и SSL
Намедни, я обеспокоился за коллег из Яндекса, в связи с принудительным переходом на deprecated технологии. Вот здесь http://schors.livejournal.com/867003.html

Сим вынужден признать, что был горяч, поспешен и неразумен. Приношу свои искренние извинения. Беспокоиться и переживать тут надо за меня.

Оказывается, существуют в природе популярные современные POP3-клиенты, которые понимают SSL только как POP3S, т.е. на отдельном порту и сначала SSL, потом POP3. Более того, эксперимент показал, что упомянутый программный комплекс - почтовый-клиент - не понимает STARTTLS в принципе (даже если сервер заявляет о нём) и фигачит LOGIN прямо так по открытому соединению. Да, LOGIN.

Кто же, спросит въедливый читатель, кто же этот негодник, в XXI веке отринувший STARTTLS?

БАРАБАННАЯ ДРОБЬ!!! GOOGLE MAIL!!! Подключение сторонних аккаунтов почты по pop3 (по другому он и не умеет).
Monday, September 15th, 2014
2:51 pm
Яндекс.Почта меняет формат
Приходит мне тут письмо от Яндекс.Почты. Говорят, переходят на SSL строгий и просят... почменять порты подключений...
http://help.yandex.ru/mail/mail-clients/ssl.xml

XXI век? Нет, не слышал.
http://www.imc.org/ietf-apps-tls/mail-archive/msg00204.html
http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml?&page=9

Беспокоюсь и переживаю за коллег. Может зря я не согласился в своё время работать там?
Tuesday, July 22nd, 2014
6:15 pm
Thursday, June 19th, 2014
6:37 pm
Внедрение выделенных IP и HTTPS
Галочка. Сделал. Самым сложным оказалось понять, в чём различие SSL-сертификатов.
https://vk.com/wall-9531792_288
Wednesday, June 18th, 2014
4:11 pm
Что есть Twitter Bootstrap
Для чайников типа меня.
Twitter Bootstrap - набор готовых .js и .css файлов, которые содержат описания кнопочек, менюшек, разметок и прочих мелочей. Сайт http://getbootstrap.com/
К сожалению родной Getting Started там никакой. Ни один пример не работает из коробки.

Давайте просто посмотрим. Внизу приведён код, который надо просто скопировать в какой-нибудь файл и открыть браузером.
Read more...Collapse )
Monday, May 26th, 2014
10:17 am
Помощь зала по мониторингу
1. Что кто может сказать зал о Ganglia? Там немного странная документация, я например по сей момент не могу найти какие метрики оно выдаёт из коробки. Не могу найти внятный каталог модулей третьих разработчиков. Вот банально - geom статистика во FreeBSD? Или какие метрики диска есть и так для FreeBSD?
2. Что кто может сказать о Shinken? Как жрёт ресурсы? Какие подводные камни?
Thursday, May 22nd, 2014
12:36 pm
FreeBSD php port
Есть FreeBSD. В портах есть lang/php5. Обращаюсь к помощи зала за разъяснением, что делают прилагающиеся к порту патчи. Честно говоря, мне большинство не очевидно. Очень похоже на какие-то наколенные штуковины...
12:33 pm
FreeBSD packages
FreeBSD надо срочно со сроками "вчера" в режиме "всё бросили и метнулись и волосы назад" надо:
- Внедрить в порты альтернативные зависимости. Например, чтобы порт p5-DBD-mysql ставился и при наличии mysql55-client, и при наличии mysql56-client, и при наличии percona5x-client, а не пытался тянуть mysql55-client. Собственно порт вроде не тянет, но эту строку наследует pkgng и сцуко считает зависимостью. Это важно.
- Убить того, кто придумал переменные WANT_*. это убивает вообще всё. Или выносите WANT_* в суффикс названия пакета. А вообще без этого можно обойтись, просто поделив пакет по дебилиановски на дев, коммон, сам, доки/примеры. Например, отсутствие отдельных пакетов на php-cli, php-cgi, php-fpm, php-mod_php - это какой-то фейспалмджепеге.
- pkg.conf - это вообще кто придумал? Зачем этот ужос в таком виде? А в чуть более простом формате не? Я так и не понял, как можно сделать иерархию вложенную репозиториев. А это надо и важно.
- Договоритесь уже все о наименованиях шаренных библиотек. Ну итить, ну невозможно же!!!!111
Monday, December 9th, 2013
1:08 am
JärviCon #8
Традиционная поездка в лес 14 декабря 2013 года. Это суббота. Ближайшая суббота. Сбор в 08:30 14 декабря 2013 года на платформе в Девяткино

Исторически мероприятие планируется для околохостинговой тусовки. Могут приехать все, кто считает что имеет смысл и готов к адекватному восприятию окружающих. Такие люди с нами ходят и тематика является только стержнем.

Цель мероприятия - отдохнуть на свежем воздухе с экзотикой. Новая особенность - с прошлого года на JärviCon можно (и нужно) сделать небольшой блиц-доклад на какую-нибудь техническую тему. Я в прошлом году рассказывал про DNSSEC, а m_ivanov про штрих-коды на квитанциях в детский сад. В этом году я планирую тоже рассказать что-нибудь особенное.

На всякий случай - мероприятие не согласовано и не санкционировано, более того - заявка даже не подавалась. Поэтому является несанкционированным шествием и митингом, с целью публичного обсуждения всяких интернет-технологий, и как вы уже заметили - привлечения внимания. Все участники автоматом будут являться нарушителями 54-ФЗ О собраниях, митингах, демонстрациях, шествиях и пикетированиях.

Время проведения - 14-о декабря 2013 года. Утром в 8:30 на станции Девяткино собираемся, в 9:06 садимся в электричку и едем на место. На месте делаем костёр, едим, пьём. Вечером примерно в 20:00 отбываем обратно в Питер. Едем на 67-ой километр Приозерского направления. Это практически тот самый Кирьясальский выступ. Прямо ровно на старой русско-финской границе со стороны Финляндии (да-да, в направлении озера через холм - Россия, на холме можно увидеть остатки оборонительных сооружений, если кто до туда дойдёт). А также с 1919 по 1921 год - граница Финляндии и Северной Ингерманландской Республики.

Приезжаем на место, доходим до контрольной точки (речка Смородинка (финск. Tungelmanjoki), озеро Париканярви (русского названия не имеет)), готовим дрова и разводим костёр. Я варю походную баланду типа суп из пакетиков с тушонкой, перловкой, перцем, рисом и всякой хренью. Едим. Пьём глинтвейн. Пьём кофе. Много разговариваем, греемся у костра, поём песни, желающие занимаются сексом (хотя, я думаю что будет холодно - застудите себе почки, ничего будет уже не надо), играем в снежки (по воле Божьей). Итак традиционная баланда, глинтвейн, кофе.

Одеваемся тепло - в любом случае жарко не будет. Термобельё, коврики, ватники лишними не будут. Пластиковые такие игрушечные лыжи в прошлый раз показали свою неэффективность. Есть вариант обычных лыж, но внимательно оцените свои возможности. Идти километров 7 по пересечённой местности, приготовтесь к карабканию по полузамерзшему склону. Желательно иметь седушки. Все берём фонарики. Напоминаю - суббота, 14-ое декабря, платформа Девяткино, под расписанием, 08:30-08:50.
Из еды с собой иметь закуску и запивку на дорогу туда и на дорогу обратно и что-нибудь к чаю. Каждый на себя возьмёт - замечательно. Очень рулят бетерброды в электричке и чай/кофе в термосе. Всё равно обычно с запасом берут, так что всем достанется. Кружку миску и ложку лучше не забывать :)
«JärviCon» на Яндекс.Картах
Финская 200-метровка, отцентрировано по стоянке
Новое: в этом году будет включён мониторинг нашего движения по ссылке http://esya.ru/om/jarvicon

И картинки для привлечения внимания:

КДПВ 18+Collapse )

Повторяю
* Тепло одеться. Иметь хорошую тёплую обувь, желательно с шерстяными носками сменными. Перчатки/рукавицы/шарфы
* Фонарики с батарейками. 14-ое декабря и здесь север, Ингрия
* Кружка, ложка, миска
* Хорошее настроение
* Возможно доклад

Да, я особо каждый раз подчёркиваю, что никто не против новых людей. Приводите, приходите сами - без разницы.

Меняйте свои планы, закупайте комки, термобельё, седушки, кружки/ложки походные, рюкзаки и перчатки.

И да придёт к вам ФАС! (c)
Tuesday, October 8th, 2013
11:06 pm
Мораль басни со светофорами
Решил я, что послушали слуги государевы холопа: http://schors.livejournal.com/864441.html
Как бы не так. Мораль той басни такова - светофоры поставили и зёбры нарисовали ровно на время встречи G20. А теперь даже места этого не найти.
Friday, September 27th, 2013
10:13 pm
Провы, гори они в аду
Большой Брат следит за вами, пополизы:
http://ru-root.livejournal.com/2669330.html
Thursday, September 5th, 2013
8:49 pm
Работа с органами
Пишу я губернатору и в КРТИ значит последством bikable.ru, что всяко хочу безопасно проезжать/проходить мост Эллесара НевскогоCollapse )

И отвечают мне, мол, круто, чувак, мы в дирекцию по организации движения направили

А дирекция типа иннах, ты чо, машина что ли?

Еду я вчера по северному тротуару моста А.Невского в сторону пл.А Невского:


Какова мораль сей басни?
Monday, August 26th, 2013
1:07 pm
С Днём Рождения!
Поздравляю автора и исполнителя замечательных песен Земфиру с 37-летием :)
Thursday, June 20th, 2013
1:51 am
Хостеры получили от РКН согласованное одобрение по «рекомендациям блокировки запрещенных сайтов»
По результатам обсуждения опубликованных ранее техническими специалистами хостинг-провайдеров технических рекомендации по методам и средствам ограничения доступа к ресурсам, занесенным в единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, Роскомнадзор заявил отрасли о принципиальном согласии с ними.

Об этом говорится в электронном послании руководителя Роскомнадзора Александра Жарова: «Мы считаем себя соавторами этих рекомендаций. На базе Федеральной Службы была создана открытая дискуссионная площадка, которая позволила наладить эффективный диалог между представителями отрасли и Роскомнадзором. Большинство наших предложений, позволяющих учитывать юридические нюансы правоприменительной практики и блокировать сайты с наименьшим риском для репутации органов исполнительной власти, учтены в документе. Поэтому нашей общей позицией может быть только согласие».

Предварительный вариант рекомендаций был опубликован 15 мая 2013 года, после чего был начат сбор и обработка пожеланий со стороны органов государственной власти. В настоящее время документ обновлен с учетом пожеланий Роскомнадзора.

Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено начал работу в ноябре 2012 года. Его создание было обусловлено требованиями Федерального закона № 139 «О защите детей от информации, причиняющей вред их здоровью и развитию».

P.S. Это фейк для своих. Не надо меня перепечатывать. Все совпадения дат и имён считать случайными.
[ << Previous 20 ]
Nan-Elmoth Forest   About LiveJournal.com